Как новый Android-троян с ИИ незаметно атакует смартфон: список зараженных приложений

Пока пользователи спорят, «опасны ли моды» и стоит ли ставить приложения не из Google Play, киберпреступники сделали ход, который выглядит почти как будущее: Android-троян начал использовать искусственный интеллект, чтобы нажимать на рекламу так, будто это делает живой человек, пишет newsoboz.org. Фишка в том, что вредонос больше не полагается на примитивные скрипты кликов, которые давно научились вычислять рекламные сети. Вместо этого он анализирует картинку экрана, распознаёт элементы рекламы и «тапает» по нужным кнопкам максимально естественно.

Самое тревожное — жертва может вообще ничего не заметить: клики происходят внутри скрытого браузера, который работает в фоне, а схема адаптируется к динамическим баннерам, iframe и видео. Исследователи Dr.Web связывают распространение этой угрозы с каталогом Xiaomi GetApps, а также с модифицированными APK и каналами в Telegram/Discord. Ирония в том, что «безобидный» кликфрод часто становится первой ступенькой к более серьёзным заражениям — просто потому, что пользователь уже привык доверять сомнительным установкам. ОБ этом рассказывает от KP со ссылкой на bleepingcomputer.com.

Новый Android-кликфрод с ИИ: что известно о схеме и почему она опасна

Чтобы понять, почему эта история стала громкой, важно увидеть: это не «ещё один троян», а новая тактика автоматизации. Она делает мошеннические клики по рекламе более устойчивыми к защите.

Что такое Android.Phantom и почему его так называют

Исследователи описывают семейство как «трояны-кликеры», которые специализируются на скрытом взаимодействии с рекламными блоками. В публикациях подчёркивается, что основная новинка — применение машинного обучения для распознавания нужных элементов на экране. В результате вредонос не зависит от одинаковых шаблонов страниц и привычной разметки.

Чем эта угроза отличается от классических click-fraud троянов

Обычные кликеры «давят» на рекламу через заранее прописанные сценарии: скрипты, DOM-обращения и повторяемые последовательности. Новая волна переходит на визуальный подход, поэтому баннер может меняться, «уезжать» в другое место или скрываться в iframe — а троян всё равно его «найдёт». Это делает схему более живучей против антифрода, который отслеживает шаблонность поведения.

Как работает Phantom-режим: скрытый WebView, виртуальный экран и клики “как у человека”

Дальше логично разобрать ядро схемы: именно Phantom-режим даёт злоумышленникам возможность зарабатывать на рекламе, не показывая ничего владельцу телефона.

Скрытый WebView и загрузка страницы в фоне

Троян открывает рекламную страницу внутри встроенного WebView-браузера, который не отображается пользователю. Он загружает цель и дополнительные компоненты (скрипт автоматизации), после чего начинает имитировать активность. Внешне смартфон может вести себя почти нормально, хотя внутри уже крутится скрытый «мини-браузер».

TensorFlow.js и распознавание рекламных элементов на скриншоте

Ключевой элемент — использование TensorFlow.js, библиотеки для запуска ML-моделей в JavaScript. Сценарий выглядит так: троян получает обученную модель с удалённого сервера, делает снимки виртуального экрана и отдаёт их на анализ. После этого он нажимает на правильные UI-элементы — как будто пользователь реально открыл страницу и кликнул по баннеру.

Упрощённо цепочка действий выглядит так:

• вредонос запускает скрытый WebView и загружает страницу;
• подгружает ML-модель и включается «визуальный анализ»;
• делает скриншоты виртуального экрана;
• распознаёт область рекламы и выполняет «тап»;
• повторяет цикл, меняя цели и действия.

Signalling-режим: когда преступник получает “живые руки” через WebRTC

После Phantom-механики появляется второй слой — режим, который превращает заражённый телефон в управляемую «рабочую станцию» для мошенников.

Зачем нужен Signalling и почему он опаснее

Если Phantom-режим — это автомат, то Signalling — уже полу-ручное управление. В описаниях упоминается, что в этой модели используется трансляция экрана виртуального браузера, чтобы оператор мог действовать в реальном времени. Для злоумышленника это означает больше гибкости: где автоматика ошиблась — человек дожмёт руками.

WebRTC-стриминг и интерактивные действия в фоне

Технически схема основана на WebRTC: троян может передавать «живое видео» виртуального окна, а атакующий способен выполнять на нём прокрутку, клики и ввод текста. Для рекламного мошенничества это удобно, потому что некоторые показы требуют активности, ожидания или прохождения простых шагов. И всё это — без того, чтобы пользователь видел происходящее на своём экране.

Где распространяется угроза: Xiaomi GetApps, моды APK и каналы в Telegram

Теперь стоит перейти к самому практичному: откуда это берётся на телефоне, и почему даже «игра на вечер» может стать входной точкой.

Заражение через Xiaomi GetApps и обновления “после модерации”

Один из главных каналов, который упоминают исследователи, — официальный магазин Xiaomi GetApps. Отдельно подчёркивается тактика: сначала публикуется приложение без явной вредоносной нагрузки, а затем опасные компоненты приходят с обновлением. Такой трюк помогает пройти первичную проверку и быстро набрать аудиторию.

Сторонние APK-сайты, модифицированные приложения и “премиум бесплатно”

Вторая волна — это моды и взломанные версии популярных сервисов, которые люди ставят ради функций «без подписки». Упоминаются сторонние APK-площадки и активное распространение через Telegram-каналы и Discord-сообщества. Особенно опасны сборки, которые «реально работают»: они не вызывают подозрений и долго живут на устройстве.

Примеры заражённых игр и объёмы установок

Ниже — примеры приложений, которые фигурировали в расследовании, вместе с заявленными загрузками.

Приложение (пример)	Ориентир по загрузкам
Theft Auto Mafia	61 000
Cute Pet House	34 000
Creation Magic World	32 000
Amazing Unicorn Party	13 000
Open World Gangsters	11 000
Sakura Dream Academy	4 000

Эти цифры важны не как «рейтинг популярности», а как сигнал: кликфрод давно перестал быть маргинальной историей на пару сотен установок. Чем больше устройств заражено, тем больше денег прокачивается через рекламные показы, и тем активнее преступники будут развивать схему.

Чем это грозит владельцу телефона: батарея, трафик и скрытые последствия

На первый взгляд, клик по рекламе «не крадёт пароли», но это не значит, что угрозу можно игнорировать. Вред — просто другого типа: он накопительный и неприятный.

Ускоренная разрядка и расход мобильного интернета

Фоновый WebView, постоянные загрузки страниц, скриншоты и обработка — всё это расходует батарею быстрее обычного. Дополнительно идёт расход трафика, особенно если реклама содержит видео, а активность идёт часами. Пользователь может заметить это как «телефон стал быстрее садиться» и «куда-то исчезают гигабайты».

Почему невидимая активность — плохой знак даже без утечки данных

Даже если в текущей версии ставка на рекламное мошенничество, сам факт скрытого управления и удалённой подгрузки компонентов — тревожный маркер. Вредоносная экосистема легко расширяется: сегодня это клики, завтра — другие функции, которые уже будут затрагивать приватность. Главная проблема — вы не контролируете, что именно запускается внутри вашего телефона и кто этим управляет.

Как защититься от Android-трояна с ИИ: практичный чеклист на каждый день

После разборов важно перейти к действиям. Защита здесь строится не на «магии антивирусов», а на привычках и настройках, которые реально снижают риск.

Безопасная установка приложений и правило “никаких модов”

Первое правило простое: не ставьте «улучшенные версии» популярных сервисов, которые обещают премиум бесплатно. Такие APK почти всегда несут риск — даже если приложение запускается и выглядит нормально. Особенно опасны сборки из каналов и чатов, где вам предлагают «самую свежую рабочую версию». Технически это идеальный способ подменить код и раздать троян тысячам людей за сутки.

Google Play Protect и системные проверки безопасности

Google отдельно подчёркивал, что по их текущим данным приложений с этим вредоносом не обнаружено в Google Play, а пользователи Android с Play Services получают защиту через Play Protect, который включён по умолчанию.
Проверьте базовые настройки:

• включён ли Google Play Protect и активна ли проверка приложений;
• запрещена ли установка из неизвестных источников для большинства программ;
• есть ли подозрительные разрешения у игр и «утилит», которые вы ставили недавно.

Что делать, если подозреваете заражение: диагностика и очистка без паники

Если есть подозрения, лучше действовать быстро и методично. Чем дольше троян живёт на устройстве, тем больше шансов, что он обновится или получит новые команды.

Признаки, которые должны насторожить

Обычно всплывают бытовые симптомы, и именно они помогают вовремя заметить проблему. Телефон может резко начать греться в простое, а заряд — таять без активного использования. Также настораживают всплески потребления мобильного интернета, когда вы уверены, что не смотрели видео. Если недавно ставили игру «из альтернативного каталога» или мод-APK — риск выше.

Пошаговый план очистки устройства

Действуйте последовательно, чтобы не пропустить источник заражения. Сначала удалите приложения, которые вы ставили в последние дни, особенно игры и «премиум-версии» сервисов. Затем просканируйте устройство средствами защиты и обновите систему, чтобы закрыть уязвимости. Если после этого симптомы сохраняются, рассмотрите сброс настроек с резервным копированием только проверенных данных.

Мини-таблица для быстрой проверки:

Симптом	Что проверить	Что сделать сразу
Батарея садится быстрее	расход в настройках аккумулятора	удалить подозрительные приложения
Растёт мобильный трафик	статистику по приложениям	отключить фоновые данные у “подозрительных”
Телефон греется в простое	активность в фоне	перезагрузка, затем сканирование
Появились странные разрешения	доступ к спецвозможностям/поверх других окон	запретить и удалить приложение

Если приложение просит больше разрешений, чем ему нужно для игры или музыки — это почти всегда плохой знак.

Ранее мы писали о том, как троян Herodotus крадёт деньги на Android и как защититься от него.